Als het om security gaat, heeft de pandemie de bedrijfscontinuïteitsplannen van organisaties danig op de proef gesteld. En wat aanvankelijk een reactie was op een uitzonderlijke situatie, is nu onderdeel geworden van de planning op langere termijn. Dat heeft niet alleen met thuiswerken te maken, maar ook met de versnelde digitalisering die breed is ingezet en die helpt om de economische gevolgen van de pandemie te verzachten. De uitdagingen die dit met zich meebrengt zijn deels nieuw, andere bestaan al langer. Bijvoorbeeld als het gaat om inzicht in wat er in de complete IT-omgeving gebeurt. Sommige ondernemingen gebruiken meer dan 1.000 toepassingen, maar het beveiligingsteam ziet misschien maar 10% daarvan. Hetzelfde geldt voor de apparaten: power users gebruiken zes of meer apparaten, en de beveiligingsteams hebben lang niet altijd zicht op al deze apparaten.
Achilleshiel
De volgende uitdaging is het wachtwoord, zowel de hoeksteen als de achilleshiel van security. We hebben elk gemiddeld maar liefst 191 wachtwoorden. Hou dat maar eens goed bij! Uit het Verizon Data Breach Investigation Report blijkt dat 81% van de securityinbreuken betrekking heeft op gestolen of zwakke wachtwoorden. Bovendien brengen wachtwoorden verborgen kosten met zich mee. Organisaties spenderen miljoenen euro’s en helpdeskuren per jaar aan het resetten van wachtwoorden. Gelukkig neemt biometrie steeds vaker de rol van het wachtwoord over in zowel de consumenten- als de bedrijfswereld. Er wordt ook hard gewerkt aan authenticatiesystemen, die net zo makkelijk te gebruiken zijn als dat ze moeilijk te doorbreken zijn.
Cultuurverandering
In veel organisaties is de traditionele benadering van veiligheid het opstellen van instructies en beleid. De afgelopen maanden is er echter een grote cultuurverandering op gang gekomen. Er is een ander model in opkomst, waarbij securityprofessionals samenwerken met hun business collega’s. Naarmate mensen onafhankelijker en sneller werken, zullen securityteams ervoor moeten zorgen dat elke securitymaatregel die zij nemen gemakkelijk te gebruiken is. Aan de ene kant kosten securitymaatregelen geld, aan de andere kant gaan de kosten omlaag doordat gebruikers steeds meer zelf de controle over security ter hand nemen. Als gevolg daarvan stellen CISO’s steeds vaker vragen zoals: wat hebben we absoluut nodig om security onder controle te houden? Waar kunnen we op vertrouwen dat de gebruikers zelf voor zorgen? Wat moeten we afdwingen?
Goede basis
Zoals blijkt uit talloze onderzoeken die de afgelopen tijd zijn verricht, komt naar voren dat thuiswerken een blijvend verschijnsel is. Vanuit securityoogpunt is daar de afgelopen tijd een goede basis voor gelegd doordat veel organisaties zaken als multifactorauthenticatie, DNS en VPN-beveiliging op orde hebben gebracht. In de traditionele securitybenadering is vertrouwen uitsluitend gebaseerd op de netwerklocatie waar het toegangsverzoek vandaan komt. Maar binnen de moderne zero-trustbenadering is vertrouwen dynamischer en adaptiever. Deze benadering kijkt naar elk toegangsverzoek, ongeacht waar het vandaan komt en laat alleen vertrouwde gebruikers en apparaten toe. De authenticatie kan versterkt worden door encryptie en markeren van bekende en vertrouwde devices, waardoor het voor aanvallers moeilijker wordt om in handen te krijgen wat ze nodig hebben, zoals credentials, netwerktoegang en het vermogen zich naar alle delen van het netwerk te bewegen.
Extra uitdagingen
Natuurlijk moet wel eerst vastgesteld worden op grond waarvan het verzoek kan worden vertrouwd. Hierbij komen AI en machine learning te hulp door specifieke activiteiten te analyseren. In de kern gaat het hier om het automatiseren van de security rond het verlenen van toegang. Voor deze automatisering zijn zekerheid, precisie en commitment nodig. Zekerheid over het hoe, wat, waarom en wanneer automatisering moet worden ingezet. Precisie om te voorkomen dat automatisering geen negatief effect heeft op andere systemen. Commitment, omdat automatisering een lange periode moet worden ingezet, zonder dat aanpassingen nodig zijn. Ziehier nog drie extra uitdagingen voor de komende periode die, als ze goed worden aangepakt, voor een grote securitywinst kunnen zorgen!
Michel Schaalje, Directeur Security Cisco Nederland
